アドバイザリー
連載 「統制活動の効率化(合理化 / 最適化 / 再設計)」

第5回 統制活動と情報セキュリティ

新日本有限責任監査法人 ITリスクアドバイザリー部
長尾 大輔
2012.07.13
1つ前の記事に戻る

これまで、統制活動の効率性を高めるために三つのアプローチを解説しました。今回は、情報セキュリティ改善について解説します。情報セキュリティは、アクセス管理等の統制など内部統制と密接な関係があり、一般に統制活動の効率化の検討過程において、併せて改善が検討されます。

1. 情報セキュリティ関連支出の増加

システム利用の増加に伴い、有効な情報セキュリティへの関心とその重要性が高まっています。昨年、EYが実施した情報セキュリティ・グローバル・サーベイ*(以下「GISS」)でも、それを裏付けるように情報セキュリティ関連支出の増加傾向は鮮明です。調査年度において、日本企業、グローバル(海外企業)ともに、情報セキュリティ関連支出を増加した割合は、減少した割合を大きく上回っています。

Q1
過去12ヶ月間の情報セキュリティ予算について、貴社に該当するものを1つ選択してください
Q1.過去12ヶ月間の情報セキュリティ予算

また、今後の予算も、グローバルでは増加すると回答した割合が59%に高まります。

Q1a
今後12ヶ月間の情報セキュリティ予算計画について、貴社に該当するものを1つ選択してください
Q1a.今後12ヶ月間の情報セキュリティ予算計画

2. 日本企業が取り組むべき課題

GISSの調査結果の中で、統制活動の見直しと関連のある情報セキュリティの項目について、グローバルとの比較をすることで日本企業の課題が浮かび上がります。

(1) 技術的セキュリティテストの実施

今後一年間に技術的セキュリティテストを実施すると回答した日本企業の割合は、総じて低くなっています。

Q17
今後一年間で実施予定の技術的セキュリティテストまたは評価について、該当するものをすべて選択してください。
Q17.今後一年間で実施予定の技術的セキュリティテストまたは評価について

中でも、「ネットワークに対する内部からの脆弱性スキャン」や「ネットワークに対する内部からの攻撃および侵入」に対応したテストの実施割合については、グローバルの半分以下になっています。
セキュリティ事故は内部に起因するものも多く、内部の管理体制の見直しはセキュリティ事故防止のために重要です。また、セキュリティ技術を導入した後も継続的に評価を続けることにより、新しい脅威に対する対抗手段を検討する機会が生まれます。

(2) 外部機関による評価

情報セキュリティの品質や有効性を評価するにあたって、グローバルでは「外部機関による評価を実施している」と答えた企業が58%あるのに対し、日本は23%しか評価を実施していません。

Q25
情報セキュリティの品質や有効性をどのように評価していますか?
該当するものをすべて選択してください。
Q25.情報セキュリティの品質や有効性をどのように評価していますか?

また、パートナー企業やベンダー、契約社員が会社の情報を適切に取り扱い、管理していることを確かめるために、グローバルでは17%の企業が、SSAE16, ISAE3402などの外部評価を活用しているのに対し、日本企業は2%に留まります。

Q26
パートナー企業、ベンダー、契約社員が貴社の情報を適切に取り扱い、管理するために、どのような対策を実施していますか?
該当するものをすべて選択してください。
Q26. パートナー企業、ベンダー、契約社員が貴社の情報を適切に取り扱い、管理するために、どのような対策を実施していますか?

外部の評価機関を利用することにより、外部委託先の評価を効果的に実施できます。また、自社の管理状況を評価する際の評価手法の見直しの機会を得ることにもなります。

3. 情報セキュリティ診断の活用

情報セキュリティに関するリスクを包括的に把握するため、統制活動の見直しとは別に、情報セキュリティに関する包括的な診断を実施するケースもあります。

一般に、情報セキュリティに関連して多種多様なリスクが存在しており、表面化した一つの課題の裏には、その数百倍の潜在的なリスクが存在するといわれています。

表面化した問題

これらの潜在的なリスクを包括的に把握するためにも、情報セキュリティマネジメントの国際標準「ISO/IEC27001」等の一定のフレームワークに基づく包括的な情報セキュリティ診断をお勧めします。

4. 統制の効率化による価値の創出

これまで、全5回にわたって、統制活動の効率化について、解説しました。一般に「効率化」という言葉から、「省力化」のイメージが先行します。しかし、本当の意味での「効率化」は単なる「省力化」ではなく、優先されるべき業務を再定義し、優先度の低い業務に充てられていた経営資源を優先度の高い業務に再配分する作業です。この経営資源の選択と集中の過程を通じて、より高度な価値を創造しようとする過程こそが、「効率化」の本当の姿であると考えます。

本コラムが、皆さまの所属される組織の価値を創出するヒントになれば幸いです。


グローバル情報セキュリティサーベイ(GISS:Global Information Security Survey)*:
今年で15年目を迎える世界規模で実施するEYの調査。昨年度の調査は、2011年6月から2011年8月の期間において、全主要産業、52カ国、1,683社(日本では124社)を対象に実施した。情報セキュリティに関する直近の動向を把握し、企業幹部が重要な意思決定をする際の参考資料として利用できる。


連載 「統制活動の効率化(合理化 / 最適化 / 再設計)」




情報量は適当ですか?

文章はわかりやすいですか?

参考になりましたか?